Keyfacts:

• Mit Inkrafttreten des Digital Operational Resilience Act (DORA) erfüllen eine Vielzahl von IKT-Verträgen nicht mehr die strengeren Vorgaben. Finanzdienstleister sind verpflichtet diese zu aktualisieren.
• Die DORA-Anforderungen bieten die historische Gelegenheit, das Auslagerungsmanagement nicht nur compliant, sondern auch kosteneffizienter und strategisch zukunftssicher aufzustellen.
• Wer diese Chance ergreift, insbesondere Analysen auf KI stützt, eine bankeigene Klauselbibliothek und ein starkes Verhandlungsteam aufbaut, sorgt für die skalierbare und erfolgreiche Neuverhandlung von Dienstleisterverträgen.

DORA-Pflichten als Impuls für Transformation und Steuerung

Seit dem 15. Januar 2025 sind tausende Verträge von Informations- und Kommunikationstechnologien (IKT) europäischer Banken schlagartig nichtig, weil sie den verschärften DORA-Vorgaben nicht genügen. Für viele Institute ein operativer Albtraum. Häufig wird die Umsetzung nicht zeitnah angegangen und immer wieder vertagt. Eine Vielzahl von Instituten haben zentrale DORA-Pflichten noch nicht umgesetzt, sehen aber Handlungsbedarf. Dabei eröffnet DORA vorausschauenden Führungsteams die Chance, das Auslagerungsmanagement strategisch neu auszurichten.

Unsere Projekterfahrung zeigt: Der Umgang mit DORA ist primär ein Management- und Transformations-, kein juristisches Problem. Die Rechtsabteilung definiert den Zielzustand; für die Umsetzung braucht es strategische Steuerung, Erfahrung in Großprojekten und Zugang zu Benchmarks. Wir empfehlen ein Vorgehen in drei Phasen:

Phase 1: Dienstleister-Inventur (Diagnose)

Grundlage jeder Verhandlung ist eine saubere Datenlage. Dazu zählt die vollständige Dokumentation bestehender Verträge inklusive Anhänge und Service Level Agreements (SLA), versioniert, analysierbar und zentral verfügbar.

Wichtig ist die klare Zuweisung von Verantwortlichkeiten in der Bank: Jede Vertragsbeziehung benötigt eine benannte Ansprechperson, die als Eskalationsinstanz und Wissensanker dient.

Ein modernes Vertragsmanagementtool wird zur Schlüsselkomponente digitaler Governance. Es unterstützt bei Fristenkontrolle, Analyse regulatorischer Pflichten und Dokumentation.

Mit unserem KI-Tool LAICA (Legal AI Contract Assist) automatisieren wir diese Prozesse. Kritische Vertragsklauseln werden automatisiert geprüft. Dabei werden auch komplexe regulatorische Anforderungen berücksichtigt, sodass Risiken frühzeitig identifiziert werden können. Die KI unterstützt zudem effizient und nachvollziehbar bei der Standardisierung und strukturierten Auswertung großer Vertragsbestände.

Zudem bewährt sich eine kritikalitätsbasierte Tiering-Einordnung der Dienstleister (z. B. Tier 1: kritisch wichtige Funktion (kwF), Tier 2: non-kwF, Tier 3: non-IKT). Entlang der Priorisierung erfolgt in Phase 3 die strukturierte Abarbeitung.

Phase 2: Verhandlungsstrategie & Klauselbibliothek (Standardisierung)

Gerade bei langjährigen Partnerschaften ist eine klare Verhandlungsstrategie entscheidend – inklusive realistischer Zielparameter und Szenarien für den Abbruch bei ausbleibendem Fortschritt. Wir definieren hierfür stets eine BATNA („Best Alternative To a Negotiated Agreement“), also die beste Alternative als Schlüssel zum Verhandlungserfolg.

Ein professioneller Umgang mit unnachgiebigen Dienstleistern, welche die DORA-Anforderungen nicht erfüllen wollen, ist Teil der Auslagerungsstrategie. Dazu gehört die regelmäßige Analyse alternativer Dienstleister und konkrete Handlungsoptionen für einen Dienstleisterwechsel.

Bewährt hat sich der Aufbau einer bankeigenen Klauselbibliothek mit Musterformulierungen zu DORA-relevanten Themen. Diese sollten idealerweise zwei Versionen je Klausel enthalten: Ideal, kompromissfähig und „rote Linie“.  So wird Professionalität signalisiert und vermieden, dass sich Verhandlungen auf Dienstleister-Standards reduzieren.

„Institute mit eigenen, durchdachten Klauselwerken bleiben Herr der Prozesse und entkommen der Einbahnstraße der Dienstleisterverträge.“
– Matthias Lüger, Partner KPMG Law

Phase 3: Verhandlungssprints (Ausführung)

Führen Sie Verhandlungen in thematisch abgegrenzten Blöcken durch, anstatt den gesamten Vertrag auf einmal zu verhandeln: Etwa ein Termin für Exit-Management, ein anderer für Audit-Rechte. Das schafft Struktur und verhindert Ermüdung.

Wir empfehlen ein cross-funktionales Team zusammenzustellen, das nach einheitlicher Methodik arbeitet und durch Expertinnen und Experten aus Legal, IT und Auslagerungsmanagement unterstützt wird.

Während sich standardisierbare Themen (z. B. Notfallpläne, Aufsichtszugriffe) leicht verhandeln lassen, sind besonders zwei Themen deutlich anspruchsvoller und sollten intensiv vorbereitet werden:

• Vergütung: Wie flexibel dürfen Preise bei Leistungsänderungen angepasst werden?
• Schulungsrechte: Muss der Dienstleister Mitarbeitende schulen?

Diese Fragen sollten intern vorstrukturiert, gut vorbereitet und mit nachvollziehbaren Argumenten untermauert sein.

Fazit

IKT-Vertragsverhandlungen sind keine Nebensache; sie sind zentral für Resilienz, Steuerbarkeit und Compliance bei der Umsetzung der DORA-Pflichten. Wer jetzt die historische Chance aufgreift, strategisch, interdisziplinär und DORA-konform verhandelt, stärkt nicht nur seine regulatorische Basis, sondern auch das gesamte Auslagerungsmanagement. Ein strukturierter Fahrplan unterstützt dabei, geeignete Maßnahmen zu identifizieren und umzusetzen.